Guia de segurança do IoT Central

  • Artigo

Um aplicativo IoT Central permite monitorar e gerenciar seus dispositivos, permitindo que você avalie rapidamente seu cenário de IoT. Este guia é para administradores que gerenciam a segurança em aplicativos do IoT Central.

No IoT Central, você pode configurar e gerenciar a segurança nas seguintes áreas:

  • Acesso do usuário ao seu aplicativo.
  • Acesso do dispositivo ao seu aplicativo.
  • Acesso programático à sua aplicação.
  • Autenticação para outros serviços a partir do seu aplicativo.
  • Use uma rede virtual segura.
  • Os logs de auditoria rastreiam a atividade no aplicativo.

Gerir o acesso dos utilizadores

Cada usuário deve ter uma conta de usuário antes de poder entrar e acessar um aplicativo do IoT Central. Atualmente, o IoT Central suporta contas da Microsoft e contas do Microsoft Entra, mas não grupos do Microsoft Entra.

As funções permitem controlar quem dentro da sua organização tem permissão para executar várias tarefas no IoT Central. Cada função tem um conjunto específico de permissões que determinam o que um usuário na função pode ver e fazer no aplicativo. Há três funções internas que você pode atribuir aos usuários do seu aplicativo. Você também pode criar funções personalizadas com permissões específicas se precisar de um controle mais refinado.

As organizações permitem definir uma hierarquia que você usa para gerenciar quais usuários podem ver quais dispositivos em seu aplicativo IoT Central. A função do usuário determina suas permissões sobre os dispositivos que eles veem e as experiências que eles podem acessar. Use organizações para implementar um aplicativo multilocatário.

Para saber mais, veja:

Gerenciar o acesso ao dispositivo

Os dispositivos são autenticados com o aplicativo IoT Central usando um token de assinatura de acesso compartilhado (SAS) ou um certificado X.509. Os certificados X.509 são recomendados em ambientes de produção.

No IoT Central, você usa grupos de conexão de dispositivo para gerenciar as opções de autenticação de dispositivo em seu aplicativo IoT Central.

Para saber mais, veja:

Controles de rede para acesso a dispositivos

Por padrão, os dispositivos se conectam ao IoT Central pela Internet pública. Para maior segurança, conecte seus dispositivos ao seu aplicativo IoT Central usando um ponto de extremidade privado em uma Rede Virtual do Azure.

Os pontos de extremidade privados usam endereços IP privados de um espaço de endereço de rede virtual para conectar seus dispositivos de forma privada ao seu aplicativo IoT Central. O tráfego de rede entre dispositivos na rede virtual e a plataforma IoT atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição na internet pública.

Para saber mais, consulte Segurança de rede para IoT Central usando pontos de extremidade privados.

Gerenciar acesso programático

A API REST do IoT Central permite desenvolver aplicativos cliente que se integram aos aplicativos do IoT Central. Use a API REST para trabalhar com recursos em seu aplicativo IoT Central, como modelos de dispositivo, dispositivos, trabalhos, usuários e funções.

Cada chamada de API REST do IoT Central requer um cabeçalho de autorização que o IoT Central usa para determinar a identidade do chamador e as permissões que o chamador recebe dentro do aplicativo.

Para acessar um aplicativo do IoT Central usando a API REST, você pode usar um:

  • Microsoft Entra token de portador. Um token de portador está associado a uma conta de usuário do Microsoft Entra ou a uma entidade de serviço. O token concede ao chamador as mesmas permissões que o usuário ou entidade de serviço tem no aplicativo IoT Central.
  • Token da API do IoT Central. Um token de API está associado a uma função em seu aplicativo IoT Central.

Para saber mais, consulte Como autenticar e autorizar chamadas de API REST do IoT Central.

Autenticar em outros serviços

Ao configurar uma exportação contínua de dados do seu aplicativo IoT Central para o armazenamento de Blob do Azure, Barramento de Serviço do Azure ou Hubs de Eventos do Azure, você pode usar uma cadeia de conexão ou uma identidade gerenciada para autenticar. Ao configurar uma exportação contínua de dados do seu aplicativo IoT Central para o Azure Data Explorer, você pode usar uma entidade de serviço ou uma identidade gerenciada para autenticar.

As identidades gerenciadas são mais seguras porque:

  • Você não armazena as credenciais do recurso em uma cadeia de conexão no aplicativo IoT Central.
  • As credenciais são automaticamente vinculadas ao tempo de vida do seu aplicativo IoT Central.
  • As identidades gerenciadas alternam automaticamente suas chaves de segurança regularmente.

Para saber mais, veja:

Conectar-se a um destino em uma rede virtual segura

A exportação de dados no IoT Central permite transmitir continuamente dados do dispositivo para destinos como o Armazenamento de Blobs do Azure, Hubs de Eventos do Azure, Mensagens do Barramento de Serviço do Azure. Você pode optar por bloquear esses destinos usando uma Rede Virtual do Azure e pontos de extremidade privados. Para permitir que o IoT Central se conecte a um destino em uma rede virtual segura, configure uma exceção de firewall. Para saber mais, consulte Exportar dados para um destino seguro em uma Rede Virtual do Azure.

Registos de auditoria

Os logs de auditoria permitem que os administradores rastreiem a atividade em seu aplicativo IoT Central. Os administradores podem ver quem fez as alterações em que momentos. Para saber mais, consulte Usar logs de auditoria para controlar a atividade em seu aplicativo IoT Central.

Próximos passos

Agora que você aprendeu sobre segurança em seu aplicativo do Azure IoT Central, a próxima etapa sugerida é aprender sobre Gerenciar usuários e funções no Azure IoT Central.